CERT-UA

Home
Ukraine
Kyiv
CERT-UA

Офіційна сторінка Національної команди реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA (національний CSIRT)

Резервна сторінка https://www.facebook.com/certua.messenger.5

CERT-UA (Computer Emergency Response Team of Ukraine) - національна команда реагування на кіберінциденти, кібератаки та кіберзагрози України. CERT-UA здійснює моніторинг, накопичення та аналіз даних про кіберінциденти, кібератаки і кіберзагрози, опрацьовує повідомлення про кіберінциденти, надає рекомендації щодо реагування і технічну п

ідтримку, готує та поширює попередження, сповіщення й іншу інформацію щодо актуальних кіберзагроз і вразливостей, а також взаємодіє з національними і міжнародними партнерами у сфері кібербезпеки. CERT-UA є членом міжнародного Форуму команд реагування на інциденти безпеки FIRST з 1 січня 2009 року.

Правова основа діяльності CERT-UA
Закони України «Про основні засади забезпечення кібербезпеки України», «Про Державну службу спеціального зв’язку та захисту інформації України», «Про захист інформації в інформаційно-комунікаційних системах», а також інші нормативно-правові акти у сфері кіберзахисту.

28/03/2026

Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA 26-27 березня 2026 року зафіксовано випадки розповсюдження електронних листів нібито від імені CERT-UA із закликом завантажити з сервісу Files.fm захищений паролем архів ("CERT_UA_protection_tool.zip", "protection_tool.zip") та встановити "спеціалізоване програмне забезпечення".

Крім того, виявлено вебресурс, який містить матеріали з офіційної вебсторінки cert.gov.ua, а також інструкцію із завантаження згаданого "засобу захисту".

Встановлено, що виконуваний файл, який пропонувалося встановити, є багатофункціональним програмним засобом для віддаленого керування комп’ютером, що класифіковано як AGEWHEEZE.

Для відстеження описаної активності створено ідентифікатор UAC-0255.

Детальніше за посиланням: https://cert.gov.ua/article/6288047

27/03/2026

⚠️ Увага: шахрайська розсилка

Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози зафіксовано масове розповсюдження електронних листів з темою "ТЕРМІНОВО! CERT-UA: масштабна кібератака з боку РФ – негайно встановити захист", начебто, від імені CERT-UA.

Зазначені листи містять заклик до завантаження та встановлення «засобу захисту».
Насправді вкладений файл є шкідливим програмним забезпеченням, яке наразі досліджується нашою командою.
Про результати аналізу повідомимо додатково.

❗️ У разі отримання таких листів:
— не переходьте за посиланнями;
— не завантажуйте вкладення;
— не відкривайте та не запускайте файли.

Якщо Ви отримали такий лист – просимо надіслати його на поштову скриньку: [email protected].

Наголошуємо, що CERT-UA не розповсюджує програмні засоби електронною поштою. Також звертайте увагу на відправника: офіційні поштові скриньки команди мають домен .gov.ua.

Дякуємо за пильність!

02/03/2026

Починаючи з січня 2026 року CERT-UA фіксує непоодинокі випадки розповсюдження електронних листів, нібито від імені центральних органів виконавчої влади та обласних адміністрацій із закликом оновити мобільні застосунки широко використовуваних цивільних і військових систем.

Електронний лист може містити вкладення у вигляді архіву, у якому знаходиться EXE-файл, або ж посилання на легітимний, проте вразливий до XSS (Cross-site scripting) вебсайт, відвідування якого призведе до виконання JavaScript-коду та подальшого завантаження на комп'ютер виконуваного файлу. При цьому згадані EXE-файли та скрипти розміщуються на ресурсах легітимного сервісу GitHub.

Протягом січня-лютого 2026 року підтверджено використання таких програмних засобів реалізації кіберзагроз:

- SHADOWSNIFF (стілер з GitHub)
- SALATSTEALER (MaaS стілер)
- DEAFTICK (примітивний бекдор на Go)

Активність відстежується за ідентифікатором UAC-0252.

Детальніше за посиланням: https://cert.gov.ua/article/6287707

12/02/2026

Інформування щодо кіберзагроз.
У застосунку Windows Notepad виявлено вразливість віддаленого виконання коду CVE-2026-20841.

Вразливість експлуатується через некоректну обробку спеціально сформованого гіперпосилання в Markdown-файлі (.md). Внаслідок цього, при відкритті посилання здійснюється виклик неперевірених обробників протоколів, які можуть завантажувати та виконувати віддалені файли або запускати локальні системні команди з правами користувача.
Вразливими є версії продукту до 11.2510. Оновлення поширюється через Microsoft Store.
Детальніше за посиланням:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20841

02/02/2026

UAC-0001 (APT28) здійснює кібератаки у відношенні України та країн ЄС з використанням експлойту CVE-2026-21509.

У понеділок, 26.01.2026, компанією Microsoft опубліковано інформацію про вразливість з ідентифікатором CVE-2026-21509 у продуктах Microsoft Office, з приміткою про активну експлуатацію останньої. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509
Вже 29.01.2026 в публічному доступі виявлено DOC-файл "Consultation_Topics_Ukraine(Final).doc", що містив експлойт для згаданої вразливості та був присвячений консультаціям Комітету постійних представників при ЄС (COREPER) по ситуації в Україні. При цьому метадані свідчать про те, що документ було створено 27.01.2026 о 07:43:00 (UTC), тобто, на наступний день після публікації згаданого сповіщення про вразливість від Microsoft.
Протягом того ж дня від учасників інформаційного обміну отримано повідомлення щодо розповсюдження, нібито від імені Укргідрометцентру, електронних листів із вкладенням у вигляді DOC-файлу "BULLETEN_H.doc".
Успішна експлуатація вразливості призводить до ураження комп'ютера програмним засобом (фреймворком) COVENANT.
У зв'язку із викладеним, з метою скорочення поверхні атаки рекомендуємо невідкладно вжити заходів, наведених в публікації Microsoft, зокрема, в частині налаштування реєстру Windows.
Беручи до уваги той факт, що програмний засіб COVENANT, який застосовується UAC-0001 (APT28) під час здійснення кібератак, використовує інфраструктуру сервісу Filen, рекомендуємо унеможливити і/або взяти під окремий моніторинг мережеву взаємодію з вузлами згаданого хмарного сховища (перелік доменних імен та IP-адрес наведено в розділі індикаторів).
Організації, які за допомогою граничних мережевих засобів власних інформаційно-комунікаційних систем і/або на рівні постачальників електронних комунікаційних послуг мають технологічну інтеграцію з системою реагування на кіберінциденти, кібератаки, кіберзагрози (забезпечення функціонування якої здійснюється Державним центром кіберзахисту Держспецзв'язку в рамках впровадження організаційно-технічної моделі кіберзахисту як складової національної системи кібербезпеки), автоматично отримують відповідний захист.
Дальніше за посиланням: https://cert.gov.ua/article/6287250

13/01/2026

Упродовж жовтня-грудня 2025 року CERT-UA у взаємодії з Командою реагування на кіберінциденти ЗС України (в/ч А0334) досліджено цілеспрямовані атаки на представників Сил оборони України, що з середнім рівнем впевненості асоційовано з діяльністю угруповання UAC-0190 (Void Blizzard, Laundry Bear).
Задля реалізації зловмисного задуму об'єкт кібератаки засобами месенджерів спонукають до відвідування вебсайту, що імітує вебсторінку нібито одного із благодійних фондів, з якої пропонується завантажити "документи" - виконувані файли, які, як правило, знаходяться в захищеному паролем архіві. В той же час виконуваний файл може бути надісланий безпосередньо в месенджер.
З огляду на використання зловмисниками легітимних облікових записів, телефонних номерів українських мобільних операторів, при цьому спілкування може здійснюватись українською мовою з використанням аудіо та відео зв'язку, закликаємо бути пильними. У разі виявлення підозрілої активності просимо представників СОУ невідкладно інформувати Команду реагування на кіберінциденти ЗС України (в/ч А0334), email: [email protected]).
Детальніше за посиланням: https://cert.gov.ua/article/6286942

05/12/2025

Інформування щодо кіберзагроз.
В підсистемі React Server Components (RSC) виявлено критичну уразливість CVE-2025-55182 (CVSS 10.0). Вразливими є пакети react-server-dom-parcel, react-server-dom-turbopack, react-server-dom-webpack версій 19.0, 19.1.0, 19.1.1, 19.2.0.
Слід зауважити, що команда Next.js опублікувала свій CVE (CVE-2025-66478), яка описує ту саму вразливість, оскільки Next.js використовує RSC у своїй архітектурі.
Неавтентифікований зловмисник може створити шкідливий HTTP-запит до будь-якого ендпоінта ServerFunction, який після десеріалізації React здійснить віддалене виконання коду на сервері.
Через високу критичність проблеми користувачам наполегливо рекомендується якнайшвидше оновити RSC до безпечної версії, оскільки proof-of-concept уже оприлюднено.
Детальніше за посиланням: https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components

19/11/2025

Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA у першій декаді листопада 2025 року виявлено факт розповсюдження електронних листів з темою "Наказ № 332" серед навчальних закладів та органів державної влади (переважно, Сумської області) з використанням скомпрометованого облікового запису поштового сервісу Gmail, який належав одному з вищих навчальних закладів згаданого регіону.
Зазначений лист містив посилання на Google Drive для завантаження ZIP-архіву "Наказ_№332_07.11.2025_Концепція_положення.zip" та пароль до останнього. В архіві знаходився файл-ярлик, під час відкриття якого за допомогою mshta.exe буде завантажено та виконано HTA-файл "zvit.hta".Згаданий HTA-файл забезпечить завантаження та запуск файлу "update.js", який, у свою чергу, за допомогою PowerShell завантажить та виконає сценарій "updater.ps1".
Насамкінець PowerShell-сценарій завантажить на комп'ютер та здійснить запуск програмного засобу LAZAGNE (отримання збережених на ПЕОМ паролів), .NET-програми, створеної за допомогою PS2EXE, яка містить PowerShell-скрипт для викрадення та ексфільтрації з використанням HTTP файлів у певних каталогах за визначеним переліком розширень, а також програмний засіб, класифікований CERT-UA як бекдор GAMYBEAR.
В контексті зазначеного кіберінциденту звертаємо увагу на постійні проблемні організаційні та технічні питання кіберзахисту. Систематичне нехтування відповідальними особами і керівниками організацій України елементарними заходами кіберзахисту (в першу чергу, на рівні рекомендованих налаштувань для штатних механізмів захисту ПЕОМ під управлінням ОС Windows) створює ризики для реалізації кіберзагроз на інші організації (на регіональному, галузевому або загальнодрежавному рівнях). Крім того, систематично виявляються порушення вимог законодавства України щодо інформування CERT-UA про виявлені факти кіберінцидентів, кібератак та кіберзагроз в ІКС організацій України, що негативно впливає на можливість вжиття невідкладних заходів реагування та сприяє безперешкодному перебуванню зловмисників в ІКС жертв тривалий час з подальшими негативними наслідками.

Детальніше за посиланням: https://cert.gov.ua/article/6286219

14/10/2025

Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA починаючи з другої половини вересня 2025 року фіксуються спроби здійснення цільових кібератак у відношенні Сил оборони та органів місцевого самоврядування низки регіонів України з використанням тематики "протидії російським диверсійно-розвідувальним групам", нібито, від імені Служби безпеки України.

Первинна взаємодія з об'єктом атаки забезпечується шляхом розповсюдження за допомогою сервісів UKR.NET/GMAIL(але не виключно) електронних листів, що містять посилання для завантаження архіву (в тому числі захищеного паролем), в якому знаходиться VHD-файл, або безпосередньо вкладення у вигляді файлу згаданого типу. В свою чергу VHD (Virtual Hard Drive) файл містить виконуваний файл та декілька документів-приманок, як правило у форматі PDF.

Для реалізації зловмисного задуму застосовуються програмні засоби OrcaC2 (багатофункціональний інструмент, вихідний код якого доступний на Github) та FILEMESS (стілер файлів з функціоналом ексфільтрації до Telegram).

Досліджена активність відстежується за ідентифікатором UAC-0239.

Детальніше за посиланням: https://cert.gov.ua/article/6285731

30/09/2025

Національна команда реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA, що діє у складі ДЦКЗ Держспецзв’язку, підготувала аналітичний звіт «російські кібероперації» за перше півріччя 2025 року.

У дослідженні фахівці діляться власними спостереженнями та аналізом щодо ключових загроз, зміни підходів, тактик та технік ворожих хакерських угруповань, а також досвідом реагування на кібератаки.

Серед головних тенденцій можна окреслити такі.

✅Активніше застосування хакерами соціальної інженерії та штучного інтелекту.

✅Використання зловмисниками легітимних вебсервісів.

✅Активне використання zero click-вразливостей тощо.

Окремо звернемо увагу, що інтенсивність кібератак продовжувала зростати. У першому півріччі 2025 року CERT-UA та SOC ДЦКЗ опрацювали 3 018 кіберінцидентів, тоді як у попередньому півріччі – 2 575. Водночас дещо знизилася кількість інцидентів високого рівня.

🔍Більше інформації – на нашому сайті https://cip.gov.ua/ua/news/khakeri-chastishe-vikoristovuyut-shi-zero-click-vrazlivosti-ta-ekspluatuyut-legitimni-vebservisi-analitichnii-zvit

🔍Повний текст звіту українською та англійською мовами також розміщено на сайті Держспецзв’язку у розділі «Публікації» ➡️ «Аналітичні матеріали» https://cip.gov.ua/ua/statics/analitichni-materiali-derzhspeczv-yazku

30/09/2025

Національною командою реагування на кіберінциденти, кібератаки, кіберзагрози CERT-UA у вересні 2025 року виявлено низку програмних засобів, представлених у вигляді XLL-файлів зі специфічними іменами, зокрема "Звернення УБД.xll", "recept_ruslana_nekitenko.xll". Такі файли є виконуваними (PE, Portable excutable) та, серед іншого, можуть завантажуватися Add-in менеджером Excel з використанням процедури (експортованої функції) "xlAutoOpen".

Згодом, від учасників інформаційного обміну отримано повідомлення щодо фіксації спроби розповсюдження засобами Signal файлу "500.zip" під виглядом документу щодо затримання осіб, які намагалися перетнути державний кордон України.

Згаданий архів містить XLL-файл "dodatok.xll", запуск якого забезпечить створення на комп'ютері декількох файлів, а саме: EXE-файлу з довільною назвою з 15-20 символів (внутрішня назва "runner.exe"), в т.ч. в каталозі автозапуску (Startup), XLL-файлу "BasicExcelMath.xll" (внутрішня назва "loader.xll") в каталозі "%APPDATA%\Microsoft\Excel\XLSTART\", та PNG-зображення "Office.png". При цьому, з метою забезпечення персистентності запуску EXE-файлу, буде створено ключ (з довільною назвою) в гілці "Run" реєстру Windows, а також заплановане завдання з довільною назвою. Додатково перевіряється значення в гілці реєстру "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\EXCEL.EXE" та видаляються значення з гілок "HKCU\Software\Microsoft\Office\{14,15,16}.0\Excel\Resiliency\DisabledItems".

Основне призначення EXE-файлу - запуск EXCEL.EXE з параметром "/e" ("/embed") у прихованому режимі (без відкриття порожньої Excel таблиці). Ураховуючи створений на попередньому етапі файл "BasicExcelMath.xll", останній буде автоматично завантажено (виконано) програмою Excel.

Основне призначення XLL-файлу - зчитування "Office.png", пошук шелкоду та передача управління на нього (VirtualProtect + CreateThread). Шелкод класифіковано як програмний засіб CABINETRAT, що є повноцінним бекдором.

Детальніше за посиланням: https://cert.gov.ua/article/6285549

15/08/2025

Інформування щодо кіберзагроз.

В підсистемі RADIUS від Cisco Secure Firewall Management Center (FMC) Software виявлено критичну вразливість CVE-2025-20265.
Ця вразливість пов’язана з неналежною обробкою введених користувачем даних під час фази автентифікації. Зловмисник може скористатися нею, надіславши спеціально сформований запит під час введення облікових даних, які перевіряються на сервері RADIUS.

Для усунення загрози рекомендуємо негайно встановити необхідні оновлення.
Детальніше за посиланням: https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-fmc-radius-rce-TNBKf79

Address

вУлица Юрія Іллєнка, 83б
Kyiv
04119

Telephone

+380442818825

Website

https://cert.gov.ua/, https://cip.gov.ua/, https://scpc.gov.ua/

Alerts

Be the first to know and let us send you an email when CERT-UA posts news and promotions. Your email address will not be used for any other purpose, and you can unsubscribe at any time.

Contact The Organization

Send a message to CERT-UA:

Shortcuts

Want your organization to be the top-listed Government Service in Kyiv?

CERT-UA

28/03/2026

27/03/2026

02/03/2026

12/02/2026

02/02/2026

13/01/2026

05/12/2025

19/11/2025

14/10/2025

30/09/2025

30/09/2025

15/08/2025

Address

Telephone

Website

Alerts

Contact The Organization

Shortcuts

Share

Category